2007年7月16日，公安部、国家保密局、国家密码管理局、国信办四部委联合发布“关于开展全国重要信息系统安全等级保护定级工作的通知”，强调2007年7月至10月在全国范围的各行业各省市内组织开展重要信息系统安全等级保护定级工作，并于2007年7月20日在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。
根据四部委关于重要信息系统等级保护定级工作的指导精神，2007年8月31日，中国人民银行联合银监会下发关于印发《开展银行业金融机构重要信息系统安全等级保护定级工作》的通知，文件要求各单位依照《信息安全等级保护管理办法》和关于印发《信息安全技术 信息系统安全等级保护定级指南》国家标准报批稿的通知，于2007年9月25日前自主完成定级工作。
自通知发布日起近半年的时间里，各银行业的信息安全等级保护定级工作开展情况如何呢？从泛行业的国家标准到具体的银行业，四部委的信息安全等级保护工作能否在银行业顺利落地？中间是否需要行业监管机构来细化具有可操作、能切合行业特点的行业标准呢？
银行业的困惑

在2007年12月22日由金融电子化杂志社举办的“2007金融信息安全高峰论坛”会上，来自国家开发银行、中国银行、中信银行、中国光大银行等信息科技主管和安全主管都认为信息安全等级保护的工作落实难度很大，他们担心的理由主要有以下几点。
首先是等级保护的风险评估由谁来执行？从国家政策文件来看，等级保护的风险评测不能由自己评，只能由第三方来评估。第三方可能是国家组织的评测机构，也可能是社会上的专业公司。
国家开发银行营运中心副主任熊平旭认为，如果委托专业的公司来做，那么就可能变成了一个产业，一个赚钱的机构。如果由公安部或者其委托的组织机构来检查，问题也很大。坦率地说，每家银行在安全、保密方面还并未完全规范，比如国开行，公安部的人员曾来检查过，查完后提出了一些“红头”文件报告（这意味着要立即执行）。但是从实践看，文件所提出的要求在近期内是根本做不到的，这给银行造成了很大的压力。
“除非是人民银行组织专家进行系统的安全评测，否则前面两种方式都令人担心。”熊平旭表示，如果第三方评估公司管理不规范，一方面他发现了银行的安全漏洞，一方面又在其中搞些小动作，那么银行面临的安全风险可能会更大。因此，现阶段各家银行还是要建立等级保护的理念，按照等级保护的要求，自己去完善各项措施比较好，找第三方评估可能是以后的事情。
其次，一些重要系统的安全保护级别定得太高，会对银行造成非常大的成本压力。安全是要追求总体的平衡，总体投入相互是有影响的，不能仅把某一块东西做得出类拔萃。如何平衡，要根据自身状况，而不是根据要求。
中国银行信息科技部副总工程师冯恺表示，“国家标准”的有些要求按照国家内网或是内部系统的要求将来贯彻到金融行业，成本、管理方式有些吃不消。“有些事情，有钱也是做不到的。”
另外安全级别越高，使用的设备国产化要求也就越高。现在，很多商业银行都在引进国外的核心业务系统，像这种重要的信息系统如果级别太高，安全要求肯定会越来越严格，在目前国内的安全产品性能偏低的情况下，银行将来在落实安全等级要求的某些方面会有困难。“我们对将来'国家标准’明确以后带来的影响相对比较担心。”冯恺说。
对于银行来说，给自己的系统定级是件相当头疼的事情。如果系统的安全级别定高了，相应的安全措施要求也高，由此增加了银行的安全成本，会影响到安全效益；如果系统的安全级别定低了，万一出了问题，谁能负担这个责任？
再者，由于等级保护的具体要求是公安部牵头组织实施的，文件本身就不是针对特定行业制订的，落实过程势必存在一个“沟通”的问题。
某商业银行的信息科技主管心有感触地表示，他们去年从国外买了台服务器，因为机器里面的CPU比较多，从美国海关走的时候被美国安全部门扣了一个月。入关后，他们主动把这台服务器提交给北京公安局的相关部门做检测。检测之后，有关部门的检测报告中并没明确表态产品是否有安全问题，但是提出的防范措施是——给这台服务器做屏蔽，让整个机房也做屏蔽，但是他们的机房是老机房，根本无法做屏蔽。这个要求在短时间内根本做不到，怎么解决？

要不要行业监管

事实上，各银行单位的这些担忧绝不是空穴来风，而是实际操作过程中的检验。仔细分析等级保护的国家标准基本要求，不难发现一些技术和管理要求与行业应用单位的系统实际情况的偏离。
中科院研究生院软件学院院长、金融科技研究中心主任潘辛平博士介绍说，现在国家标准的一级和二级都要求所有的软件在安装之前要做白箱测试，就是要求开发单位提供软件源代码，并审查软件中可能存在的后门，分析后门有没有安全性问题。
“白箱测试的要求是很高的，它要求必须有源代码和文档，还要求有能做安全分析的人，有几家银行能做到？”潘辛平认为，很多银行事实上根本没有这个能力。首先是拿不到源代码；就算拿到源代码，以现在中小商业银行的科技能力，做代码安全性分析可能吗？如果说银行把任务交给外面的企业做，银行能放心吗？
另外，国家标准的二级要求“软件系统需要及时更新”。及时更新那么意味着比如微软发现一个补丁，只要补丁一公布，应用单位就得更新，一两天之内就应该做更新。“没有哪一家银行敢及时升级，一升级系统就很容易死掉。因为这是在原来系统版本上开发的，有很多安全问题都是由于这个因素引起的。”潘辛平补充说。
一般银行会在试验机上增加补丁到一定程度，运行半年或一年的时间以后，才敢在生产机上打补丁升级。如果试验机上补丁测试没有达到百分之百的效果，银行不会轻易在生产机上升级的。如果说你把生产机系统复制一套进行打补丁升级，后果是你有可能切换不过去。没有银行敢这样做。
此外，对重要系统，国家标准要求应用单位要定期更换密码，比如一周一次。但是，银行核心业务系统的服务器开机密码通常是半年都没人用。因为系统稳定运行后，服务器就不需要重新启动，所以也不需要更换密码。如果系统没问题，用一次就更换一次密码等于是找死，从安全角度考虑，很忌讳这种做法。
“这些问题集中反映出一个核心问题，就是行业监管要不要？如果要，该怎么做？做了以后，跟等级保护是什么关系？会不会给应用单位增加很多负担？”潘辛平一连串的问题追问下来，他说，国家标准并不了解特定行业的东西，但是等级保护又是一个强制性的红头文件，中间有距离。
潘辛平认为，等级保护一定要有行业监管，目前保监会、证监会都有一个基本的等级保护监管调子，那么银行业同样要有一个监管调子。行业监管一定要把等级保护的基本要求，包括等级保护不适应行业要求的东西单独从行业的角度跟等保实施部门沟通，其他的东西，应该都覆盖在行业的监管文件里。这样一来，既减少了被监管企业即应用单位的负担，又满足了行业监管。
“保险行业的信息安全，基本上把等级保护都覆盖了，而且都融入了监管的理念、手段，还代表了行业，而不是每个公司、分公司跟公安部或公安厅去打交道，这样省却了保险公司很多的麻烦。”潘辛平博士告诉记者，保监会的监管原则是引导企业，随着企业自身能力的提高，逐步提高信息安全的能力。
应用单位在给自己定级的时候，最好偏低定，如果行业监管部门支持你，就给自己未来留下了空间，也给监管部门留下了空间。为什么呢？因为实际上定高了，有很多东西是做不到的，这样一方面行业监管部门没有了空间，另一方面给应用单位也增加了很多麻烦。
之所以要求四大资产管理公司的信息安全等级保护都定在一级，这是由于他们行业自身特点决定的。首先，他们所有的数据都有法律文档，包括保险公司也一样，其次，法律规定他们的资产拍卖合同都要在网上和报纸上公布，如果网络瘫痪了，没什么关系的。“但是，这件事如果没有行业监管去说话，每个资产管理公司和他的分公司都去跟公安部或公安厅去解释，是非常麻烦的一件事情。”潘辛平表示。

谁来扮演监管角色

针对一些银行和专家在等级保护实施上的困惑和担忧，中国人民银行科技司安全处处长郭全明认为，实施等级保护有一个过程，一步到位是做不到的，还需要做很多工作。他说，等级保护的国家标准是一个推荐性的标准，实践当中需要不断地完善，需要与实际情况结合起来。国家肯定会考虑这些事情，做出必要的修改调整，如果不加分析其合理与否，硬往下推肯定是不行的。
那么，需不需要一个行业监管来担当中间实施沟通的角色，并根据行业特点提出行业自己的标准性东西？
郭全明说，国家标准是花了好几年的时间才做出来的，还没有经过实践的检验，如果国家标准都没有经过实践的考验，那么行业做出来的东西就可操作吗？再说标准做得越细，越不具有代表性，越难操作。现在的国家标准已经很细了，如果行业再出一套标准，成了空对空。所以一定先要按照国家标准进行实践，慢慢地总结经验，提出更符合实际的标准。
实际上，国家标准并不是非要追究一些细节性的东西，而是要把一些关键的东西保护好。国家的要求是什么意思呢？比如三级以上，银行自己定完了，说明这个是很重要的，国家就可以参与对你的监管，检查企业是否做到位了，具体细节性的东西他不会去做的，也做不到。比如三级以上的系统，企业报完了，国家归类，然后做推动工作，比如后门的测评，用户能知道芯片的后门吗？这显然不是用户该做的事情，而需由国家专门的部门去做。这些事情在实践中会慢慢做起来。
“其实，等级保护的核心就是国家把确实关系到国计民生的重要系统梳理出来，检查应用单位是不是采取了相应的安全措施。”郭全明表示，国家这么做主要是督促各应用单位把重要系统的安全工作搞好。国家制定的这套标准是推荐性标准，就是为了指导各应用单位怎么做，指导并提供参考。
所以说，行业一上来就定自己的标准是不合适的。因为国家已经制定了一套标准，而且非常细了。当然东西越细，越存在可操作性的问题，存在不同单位因实际情况不同而冲突的地方。这不是一个单位的事，而是很多单位需要参照的标准，由于各个单位情况不一样，太细了反而没法操作。比如网络结构不一样，怎么提？所以说将来越细的东西也是参考性的。
“我们现在做的工作是不断积累应用单位反馈回来的意见，汇总并摸索形成自己行业今后的标准。”郭全明补充说，比如，某一条标准，用户把它的实施意见反馈回来可以做，就把它加进来，如果不能做，就把它去掉。如果这个过程都做不到的话，而急于做新的行业标准会违反客观规律。
     很多单位只知道有国家标准这个文件，不知道具体的标准，作为行业监管部门，要先让银行业各机构了解知道这个标准，并对照这个标准去做。实践过程中，可能会发现一些问题，也可能会帮助解决一些问题，这两方面因素都会有。郭全明乐观地认为，正面的一定会大于负面的。做完了以后，根据国家的要求再制订比较详细的行业规范性东西。
在谈到谁来扮演行业监管的角色？郭全明处长的观点是，从法律文件上看，国家对银行的信息安全监管没有明确的分工，现在是人民银行科技司与银监会一起做。比如，目前的等级保护和前段时间的十七大会议的安全保障等，都是两个部门联合做的。